Elementi importanti dell’analisi:
- Utilizzato nel conflitto Israele – Hamas
- Files overwriting (senza richiesta di riscatto)
- Drives enumeration
- Estensione .BiBi appesa ai files sovrascritti
- Tasks di anti-VM
- Modifica delle OS booting settings al fine di non permettere le Recovery Settings
- Eliminazione copie shadow
- Utilizzo di oggetti Restart Manager per risorse e processi utilizzate in quel dato momento
- Root path individuato nella cartella C:\Users
Introduzione
BiBi Wiper è un malware di tipo “distruttivo” utilizzato nel conflitto Israele – Hamas dagli attivisti del gruppo terroristico sunnita. Dal 30 Ottobre 2023 il threat sta infettando anche sistemi operativi Unix, nonostante la variante più utilizzata sia quella Windows, sottoposta ad analisi nel presente articolo.
L’artefatto, similarmente a quanto è avvenuto durante la guerra Russo-Ucraina, è stato utilizzato come strumento di guerra ibrida atto ad effettuare azioni distruttive nei confronti delle infrastrutture critiche di Israele, contribuendo di fatto all’offensiva militare e strategica di Hamas. La minaccia, eseguendo una sovrascrittura ed una fase di “locking” dei files (senza però chiederne alcun riscatto) pone BiBi Wiper in una condizione diversa da una minaccia Ransomware. L’unico obiettivo del Wiper è quello di rendere i dati dei target systems non accessibili e non utilizzabili. [0]
Per un approfondimento dell’analisi: